AIを活用した脅威アクターが55カ国で600台以上のFortiGateデバイスを侵害

概要

AWS Threat Intelligenceは、ロシア語圏の経済的動機を持つ脅威アクターが商用生成AIサービスを利用して600台以上のFortiGateデバイスを侵害したと報告しました。この活動は2026年1月11日から2月18日にかけて観測されました。

CJ Moses氏、アマゾン統合セキュリティの最高情報セキュリティ責任者（CISO）は、「このキャンペーンでは、FortiGateデバイスの脆弱性を悪用する代わりに、公開された管理ポートと単一要素認証を使用した弱い資格情報を悪用して成功しました」と述べています。

技術的能力が限られている：この脅威アクターは、商用生成AIツールを多用することで、攻撃サイクルの各段階（ツール開発、攻撃計画、コマンド生成など）を実行しました。
AIツール：主な操作のバックボーンとなったAIツールと、特定の侵害ネットワーク内で移動するための補助的なAIツールが使用されました。ただし、これらのツールの名前は非公開です。

この脅威アクターは、組織のActive Directory環境を侵害し、完全な資格情報データベースを抽出し、バックアップインフラストラクチャも標的としました。これは、ランサムウェア展開に向けた動きである可能性があります。

システムスキャン：FortiGate管理インターフェースがインターネットに公開されている場合、ポート443、8443、10443、および4443を対象とした一連のスキャンが行われました。
資格情報の認証：一般的に再利用される資格情報を用いて認証を試みました。

ネットワーク内での移動：DCSync攻撃、パス・ザ・ハッシュ/パス・ザ・チケット攻撃、NTLMリレー攻撃、Windowsホスト上のリモートコマンド実行。
Veeam Backup & Replicationサーバーへの標的化：資格情報収集ツールと既知のVeeam脆弱性を悪用するプログラムを展開。

組織は、管理インターフェースがインターネットに公開されていないことを確認し、デフォルトおよび一般的な資格情報を変更し、SSL-VPNユーザー資格情報の定期的な更新を実施する必要があります。また、バックアップサーバーから一般ネットワークアクセスを隔離することも重要です。

Moses氏は、「このトレンドが2026年に続くことを予想しており、AI強化された脅威活動の量が増加すると予測します」と述べています。防御策としては、パッチ管理、資格情報衛生、ネットワークセグメンテーション、およびポストエクスプロイトインジケーターに対する堅牢な検出が必要です。

元記事: https://thehackernews.com/2026/02/ai-assisted-threat-actor-compromises.html